史上最嚴數據保護規則 – GDPR會成為「紙老虎」嗎?

史上最嚴數據保護規則 - GDPR會成為「紙老虎」嗎? 1

歐盟《通用數據保護條例》(以下簡稱《條例》)上週正式生效了。這個長達200頁的《條例》被稱為世界上保護數據信息的「最嚴法規」,將對世界信息產業、人工智能發展產生深遠影響。

數據是最寶貴財富,如何明確數據所有權?

歐盟向來重視個人隱私保護,早在1995年便出台《歐盟數據保護指令》。在當前個人數據濫用趨於惡化的情況下,《條例》應運而生,通過明確個人行使數據所有權的具體方式來加強隱私保護,力圖讓個人真正成為數據的「主人」,享有數據所有權。《條例》明確指出,處理個人數據必須要有合法理由,包括數據主體的同意、履行合同或者法定義務的要求以及數據控制者的合法利益等;個人同意必須具體、清晰,是用戶在充分知情的前提下自由做出的;如果將同意數據處理作為簽訂合同的前提條件,而數據處理事實上超出了提供服務的需要範圍,那麼將違反有關「同意應當自由做出」的規定。

相比於之前規定,《條例》對個人數據權利細化為知情權、訪問權、反對權等,並且引入數據可攜權與遺忘權等新型權利類型。其中,遺忘權是對傳統刪除權的擴張,即用戶可以隨時撤回對數據利用的同意,而且當用戶依法撤回同意或者數據控制者不再有合法理由繼續處理數據時,數據控制者不僅要刪除自己所控制的數據,還要求數據控制者負責對其公開傳播的數據的刪除,也就是需要通知其他第三方停止利用並刪除數據。

《條例》對個人數據權利進一步細分,希望增強個人數據所有權意識,更好地控制數據的收集與利用,遏制互聯網巨頭強勢侵犯個人隱私和控制數據以牟利的狀況。但是不少人也擔心,「冰凍三尺,非一日之寒」,數據所有權意識的形成將是一個長期過程,不會一帆風順。

我所在的英國也加大了對《條例》的普及介紹和宣傳,中小學課堂上也專門講解了《條例》的新變化,學生如何更好地利用《條例》保護自己合法權益。我個人也收到不少公司電子郵件,希望我能重新確認同意繼續接受其郵件信息。但從我接觸的普通民眾來看,雖然大多知道《條例》已生效,但對《條例》的變化並不關心,對自己的個人數據依然保持著無所謂的態度,也不願投入時間與精力來關注數據利用情況。在智庫工作的西蒙認為,一般人使用互聯網都希望能便捷地享受服務,對於分享數據也習以為常,幾乎沒人會花費時間去仔細閱讀相關條款,互聯網公司也深諳此道,因此有關徵求是否同意分享數據的通知一般都非常冗長,甚至詰屈聱牙,使用者很少有不同意的。

雖然《條例》是否能夠促使個人有效行使數據所有權還有待觀察,培育民眾的數據所有權意識也需要時日。但《條例》畢竟為有心人提供了有力的武器,其生效第一天,一名奧地利隱私保護積極分子便針對臉書、谷歌公司提起了巨額訴訟,指出兩大公司「要求用戶必須同意隱私政策,否則不能提供服務」的做法違反了《條例》的相關規定。

大公司尚能「掏錢免災」,小公司難逃「窮途末路」?

《條例》協調統一了歐洲各國有關數據保護的規定,實行一站式監督管理。相較於之前企業需要瞭解不同國家的數據保護法規,《條例》的統一規定在一定程度上可以減少企業瞭解與適應不同規定的任務。但是,《條例》針對企業收集與利用個人數據的規範更加嚴格,要求企業必須遵從數據保護的若干規定。例如,《條例》明確了數據保護的問責機制,規定了數據保護官、文檔化管理、數據保護影響評估、數據洩露報告以及安全保障措施等制度。數據控制者必須全面記載其數據處理活動,做到一舉一動都有據可查,而且數據處理過程應當公開透明,用戶有權隨時查詢。

《條例》提高了企業運營成本,企業需要花費較大開支來遵守《條例》。根據估算,富時指數的公司每年平均需要花費1500萬英鎊來遵守《條例》規定,世界500強公司平均每個公司需要僱傭5名數據保護專職人員以及5名兼職人員從事數據保護工作。與歐盟業務往來密切的美國公司已耗費數十億美元以適應《條例》。微軟公司已經投入了大量資源執行法規,如分派了1600多個工程師從事與《條例》相關的工作。僅清查公司數據信息,重新獲取用戶同意,便需要花費工作人員幾個月的時間。

大公司尚能通過分攤成本支撐過去,中小企業則困難重重。調查清理數據的任務艱巨,不利於小公司的生存發展。不少中小企業沒能在《條例》生效日期前做好各項準備工作,尤其是一些小公司忙於生計,無力履行數據保護義務,有的竟然對《條例》毫不知情。《條例》生效實施後,這些企業可能面臨遭受行政處罰與侵權訴訟的風險。對一些依賴數據服務的小公司而言,可能從此失去選擇和使用數據的權利,不得不改變商業模式甚至就此關張。大浪淘沙,適者生存,面對嚴格的數據保護規定,企業被迫採取相應措施來適應新的要求與挑戰,相關行業可能又將迎來一番洗牌。

能否做到有法必依,違法必究?

《條例》洋洋灑灑幾百頁,對規範數據保護行為做出詳盡規定,但也遭到「規定過於複雜繁瑣」,「條文艱澀難懂」等批評。而且,由於《條例》未能清晰地闡述部分法律義務,存在被規範主體無所適從的問題。儘管歐盟法規的複雜難懂屬於「標配」,但《條例》的部分含混不清主要來源於法規制定過程中的爭議。法規畢竟是妥協的產物,在《條例》草案徵求意見過程中立法機構收到了4000多份修改建議,公司、政府、其他組織利用數據的目的與功能不同,成員國的歷史狀況和目前對數據利用的態度也不同。艾莉森在《紐約時報》的撰文中指出,她曾經在瑞典訪問過許多科學家、數據管理員、律師等,很多人認為《條例》很費解,而且質疑完全遵守《條例》的可能性。

《條例》能否有效執行,是否會受到成員國軟抵制,也受到輿論關注。截至今年初,歐盟成員國中只有德國與奧地利根據《條例》要求完成了對國內法規的相關修改,甚至還有成員國沒有發佈任何有關如何實施《條例》的法規與文件。而且,歐盟數據保護機構的執法能力也深受質疑。各國數據保護機構由國家財政資助,歐盟沒有提供任何財政支持,同時,設立的歐洲數據保護機構本身力量薄弱,工作人員相對不足,很難向成員國提供所需的指導和幫助。

《條例》大大增強了監管機構的執法權,規定了比較嚴苛的罰金。由於個人數據總量龐大,流動性強,企業處理數據的過程又複雜隱秘,因此,數據保護機構的監管任務十分繁重,難度較大。荷蘭數據保護機構前主席科恩斯塔姆曾指出,鑑於監管機構十分有限的財政預算,查出企業違反數據保護規定的機率會很低。更令人擔憂的是,與人丁興旺的大公司相比,監管機構的人力資源相形見絀。例如,愛爾蘭數據保護機構的工作人員已經相對充足,但其1179萬歐元的預算仍是比較小的變化,根本無法與臉書公司的公共事務部門相媲美。

理想豐富,現實骨感。隨著時間推移,史上最嚴《條例》如不能得到有效執行,將會淪為「紙老虎」,最終成為人們的笑柄。

歐盟展現了搶抓全球規則制定權的雄心,會否滋生「數據保護主義」?

《條例》似乎有針對美國的意味。《條例》生效不久,美國商務部長羅斯便在《金融時報》上撰文抨擊《條例》,稱其將對跨大西洋貿易造成障礙,甚至可能中斷歐洲與世界各國在相關領域的有效合作。這也難怪,美國的科技巨頭多年來在歐洲攻城略地,見佛殺佛。歐洲相關領域的主宰方全是清一色的美國巨頭。

歐洲由於方方面面的原因,出不了科技巨頭。世界前十大公司中沒有一家歐洲公司。歐洲十大公司中入圍的大多是汽車和能源行業的巨頭,沒有一家科技公司。歐洲最大的科技公司就算德國軟件公司SAP SE了,這也是歐洲唯一一家市值在1000億美元以上的科技公司,相形之下,美國蘋果公司的市值已超過8000億美元,谷歌、微軟、亞馬遜等市值也在7000億美元左右,規模上遠超歐洲企業。在初創企業中,歐盟擁有25家獨角獸公司,總共價值約490億美元,近一半都來自英國。如果把脫歐的英國去掉,歐盟只有12個獨角獸公司,市值不到250億美元。而美國獨角獸企業多達114個,其中優步公司市值便超過歐盟的12個公司市值。

為了抵禦美國的「侵略」,歐盟使盡了招,但效果不彰。此次《條例》生效,讓歐洲「處罰」美國科技巨頭又多了一把「尚方寶劍」,同時也給在歐洲「野蠻生長」的美國公司戴上了「緊箍咒」。美國大多公司是不會忍心丟失歐洲市場的,只能根據《條例》的新要求來加強數據保護措施或者調整商業模式,而這種改變不僅會針對歐盟用戶,也可能擴展至其他地區的用戶,例如,微軟公司已經宣佈會讓全世界用戶都能享受相同的數據權利。跨國公司的隱私保護措施也會影響其他地區的公司的行為,逐漸促進商業習慣規範的形成。而且,根據《條例》規定,與歐盟簽訂貿易協議的國家必須承諾遵守《條例》的規定。同時,與之前的《數據保護指令》相比,《條例》的適用範圍擴大,適用於所有獲取歐盟公民數據的公司、機構等;世界上的任何組織處理有關歐盟公民的數據時必須保證收集、儲存與處理數據的過程透明化。以上變化都可能促進其他國家修改數據保護法規,盡力提供與歐盟相同水平的數據保護。

目前《條例》已產生了漣漪效應,例如日本、哥倫比亞、韓國,制定或者修改了數據保護方面的法規,加快提高數據保護水準。中國也於近日實施了《信息安全技術個人信息安全規範》。隨著越來越多的國家提高數據保護標準,歐盟又一次成功展示了規範能力及其對世界的影響力。

讓歐盟尷尬的是,軟實力雖在,硬實力已大幅下滑,當前歐盟在人工智能、互聯網經濟方面落後於美國、中國,歐盟只有將其高標準推廣為全球標準,才可能在新一輪關於物聯網、人工智能等高科技競爭中贏得一席之地。因此,歐盟這種「做減法」的方式也招致諸多詬病,批評者認為其打著加強個人數據權利保護的幌子,實際上則是通過降低外國高科技公司控制數據的能力,遏制其快速發展的勢頭。這種做法只會滋生「數據保護主義」。

總之,個人隱私與公共安全總是一對矛盾。控制與運用個人數據是人的自主權利,是隱私保護的重要部分。保護個人數據所有權與加強數據利用需要保持平衡。在數據濫用已常態化的時代,無論爭議如何,歐盟嘗試性地向前邁出了一步。正如兩位中國的前輩所說,既有「嘗試成功自古無」,也有「自古成功在嘗試」。

分享文章:

發表迴響